我有一个 Ubuntu 10.04 VPS 机箱。它已经安装了几天了,只运行了 ssh、postfix/dovecot。该服务器旨在满足我的个人需求,如电子邮件和 RoR 开发。我的服务器/var/log/auth.log
已经大约有 300k,并且充满了类似这样的消息:
Jul 4 03:18:36 artemis sshd[360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.96.201.81 user=root
Jul 4 03:18:38 artemis sshd[360]: Failed password for root from 66.96.201.81 port 58040 ssh2
Jul 4 03:18:39 artemis sshd[362]: reverse mapping checking getaddrinfo for 66-96-201-81.static.hostnoc.net [66.96.201.81] failed - POSSIBLE BREAK-IN ATTEMPT!
他们还尝试使用其他随机用户登录,例如user
、testftp
、ftp
、samba
、等等。我随机对一些 IP 地址进行了 whois 查询,发现它们似乎属于中国、乌拉圭、厄瓜多尔和其他一些国家。这种暴力入侵尝试有多常见?我需要担心吗?我应该安装防火墙或采取任何其他安全措施吗?postgres
admin
alex
答案1
您不必担心这些尝试,因为它们非常常见,您可以(并且必须恕我直言)采取以下措施来降低服务器受到威胁的风险:
答案2
您所注意到的情况非常普遍 - 只要您的服务器位于面向公众的互联网上,人们就会试图入侵。因此,保持代码和软件包的更新是必须的!是的,使用好的防火墙也很重要。
我使用一个名为配置服务器安全 (CSF)。它的优点是它会自动记录这些内容,并且您可以将其配置为在多次 SSH 尝试失败后永久阻止某个 IP 地址。
我做的另一个做法是减少 sshd_config 文件中的“最大失败尝试次数”。
答案3
我遇到了和你一样的问题。多次 SSH 攻击和字典攻击。我建议使用 IPTables 方法 - 手动创建规则或使用 fail2ban 或denyhosts 等包。类似的东西是 pam_shield,但它的用途稍微有限一些。
我建议使用非基于密码的 SSH 登录(即基于证书/密钥),以及限制可以进行 SSH 登录的地址。
可以在此处找到一些可用于此目的的 IPTables 规则的示例: http://www.thatsgeeky.com/2011/01/limiting-brute-force-attacks-with-iptables/